シャドーIT、設定監査、情報漏えい対策――「クラウドセキュリティ」はどこまで見るべきか：CASBの視点から

注目が集まる「クラウドセキュリティ」、しかしその定義は人によって異なるため、「どこまで対応すべきかがよく分からない」という企業も少なくないだろう。マカフィーは報道関係者向けにクラウドセキュリティに関する勉強会を開催し、CASBの視点からクラウドセキュリティの現状を語った。

[宮田健，＠IT]

McAfee エンジニアリング担当バイスプレジデント スラウォミヤ・リジェ氏

　マカフィーは2019年9月13日、報道機関向けに「クラウドセキュリティ」に関する勉強会を開催。McAfeeのCASB（Cloud Access Security Broker）プラットフォーム「McAfee MVISION Cloud」の製品エンジニアリング、品質保証などの責任者を務めるスラウォミヤ・リジェ氏が来日し、クラウドセキュリティの現状を解説した。

　CASBとは、企業内で利用される“把握できていない”クラウドサービス利用を含め、社外クラウドサービスの利用状況を把握し、監査、検証を行うサービスだ。従業員が個人のクラウドストレージサービスなどを企業組織内で利用すると、これまで投資してきたセキュリティ機構をすり抜け、情報漏えいにつながる可能性がある。一方で、クラウドサービスの利用そのものを禁止すると、業務が遂行できない時代であるため、利用を認めつつガバナンスを利かせるためにCASBの仕組みが使われる。

CIOは「ノー」ではなく「イエス」と答えよ

　リジェ氏は「『自社内にシャドーITサービスがどのくらいあると思うか』とCIO（最高情報責任者）に聞くと、『100くらいだろう』と答える。しかし、実際は平均2600ものサービスが利用されている。日本はまだましだが、それでも1500程度は使われているだろう」と述べる。

　シャドーITの中には、例えばPDFコンバーターなども含まれる。PDFでもらった資料をWord文書として再利用したいとき、検索するとそういうサービスがWebに存在する。「もし、これが北朝鮮やロシアが運営するサービスだったとしたら？　これもシャドーITの一種で、利用者はシャドーITと認識せずに利用している場合もある」（リジェ氏）

　さらにリジェ氏によると、日本におけるCASB市場は米国と比べると1年ほど遅れているという印象だという。導入が遅れていることで今もシャドーITがはびこっている現状がある。

　リジェ氏は「シャドーITに対してCIOはノーではなく、イエスと答えるべきだ。クラウドサービスを企業で許可することで、データを守りつつコラボレーションも可能になる。CASBを使うことで、従業員は自由に、安全にサービスを活用できる。IT部門は『イエス』と言える部門になるべきだ」と提言した。

企業の機密データがどこにあるか。このグラフではシャドーITが10％程度と小さくなっているが、これはシャドーITを撲滅し、CASBにより管理が行われた後の状態だという

マカフィーが考える「クラウドセキュリティ」とは

　現在CASBは、「Office 365」「Google ドキュメント」「Slack」「Box」などコラボレーションSaaSだけではなく、「Salesforce」のようなビジネスSaaS、そして「Amazon Web Services」（AWS）や「Microsoft Azure」などのIaaS、PaaSに対してもセキュリティ機能を提供する。マカフィー 第一SE部 シニアセールスシステムエンジニアの河本敦弘氏は、クラウドセキュリティを3つに分類して解説する。

クラウドセキュリティを考えるべき3つの軸

マカフィー 第一SE部 シニアセールスシステムエンジニアの河本敦弘氏

　「クラウドセキュリティの管理としては、CASBだけではなく、設定の監査、管理を行う『CSPM』（Cloud Security Posture Management）、そしてこれまで同様、ワークロードやネットワークの可視化を行う『CWPP』（Cloud Workload Protection Platform）の3つが、クラウド利用者が考えるべきポイントだ。McAfee MVISION CloudではCSPMの部分もCASBという名称でカバーしている」

　河本氏によると、最近注目されている「コンテナセキュリティ」に関しても、上記のCWPP部分に含まれるという。マカフィーは2019年8月にコンテナセキュリティ機能を提供する製品を持つNanoSecを買収しており、コンテナ依存関係／脆弱（ぜいじゃく）性の可視化、アノマリ検出、ラテラルムーブメントの検出などの機能をMcAfee MVISION Cloudに組み込んでいく予定だ。